Wireguard auf Debian 10 -> iptables/nftables Problem

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Avenger
Beiträge: 20
Registriert: 09.12.2019 07:55:11

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von Avenger » 25.03.2020 14:22:23

Habe mal aus Spaß Ubuntu 19.10 als VM installiert und genauso Wireguard & Pihole installiert.
Läuft einwandfrei (mit Iptables).
Dann bleibe ich vorerst bei Ubuntu @VM.

Beim Raspberry warte ich noch 1-2 Jahre bis mehr Leute Buster mit Wireguard + Pihole nutzen.
Habe den gerade erst neu eingerichtet mit Debian9.

Trotzdem danke.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von mat6937 » 21.04.2020 09:21:08

Avenger hat geschrieben: ↑ zum Beitrag ↑
25.03.2020 14:22:23
Beim Raspberry warte ich noch 1-2 Jahre bis mehr Leute Buster mit Wireguard + Pihole nutzen.
Du musst nicht mehr warten. Du kannst WireGuard mit Hilfe von systemd so konfigurieren, dass keine iptables-/nftables-Regeln (für MASQUERADE und forwarding) in der config benutzt werden müssen. Z. B.:

Code: Alles auswählen

:~# ls -la /etc/systemd/network | grep -i wg0
-rw-r----- 1 root systemd-network 1252 Apr 18 14:48 wg0.netdev
-rw-r--r-- 1 root root             171 Apr 18 10:47 wg0.network
In der wg0.network-Datei in der Section [Network], zusätzlich die Zeilen:

Code: Alles auswählen

IPForward=ipv4
IPMasquerade=yes
eintragen.
Testen (nach einem "systemctl daemon-reload && systemctl restart systemd-networkd") mit:

Code: Alles auswählen

iptables-legacy -nvx -L -t nat
Eine wg0.conf-Datei wird nicht mehr benötigt.

Avenger
Beiträge: 20
Registriert: 09.12.2019 07:55:11

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von Avenger » 31.07.2020 11:16:19

komischerweise laufen die iptables Befehle (jetzt) einwandfrei auf Buster, habe zwei RaPi damit am laufen. k.A. was damals das Problem war :facepalm:

Code: Alles auswählen

[Interface]
Address = 192.168.99.10/24, fd08::10/64
ListenPort = 51821
PrivateKey = ***

PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostUp = iptables -A FORWARD -o %i -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostUp = ip6tables -A FORWARD -i %i -j ACCEPT                                                                           
PostUp = ip6tables -A FORWARD -o %i -j ACCEPT                                                                           
PostUp = ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE 
                                                         
PostDown = iptables -D FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -o %i -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
PostDown = ip6tables -D FORWARD -i %i -j ACCEPT                                                                         
PostDown = ip6tables -D FORWARD -o %i -j ACCEPT                                                                         
PostDown = ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
   
IPv4 + IPv6 kein Problem.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von mat6937 » 31.07.2020 11:37:29

Avenger hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 11:16:19
komischerweise laufen die iptables Befehle (jetzt) einwandfrei auf Buster, habe zwei RaPi damit am laufen. k.A. was damals das Problem war ...
Wie sind jetzt die Ausgaben von:

Code: Alles auswählen

iptables --version
which xtables-legacy-multi
?

BTW: Du kannst WireGuard auf Buster auch mit systemd-networkd (d. h. ohne wg*.conf-Datei/wg/wg-quick) konfigurieren, dann werden die iptables-Regeln und das forwarding, mit Hilfe der Konfiguration von wg*.network/wg*.netdev-Dateien gesetzt.

Avenger
Beiträge: 20
Registriert: 09.12.2019 07:55:11

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von Avenger » 31.07.2020 12:56:38

das:
Bild

warum sollte ich es anders einrichten?

Bei einer Neueinrichtung (SD Karte formatiert), dauert die WG Inbetriebnahme keine 3min.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: Wireguard auf Debian 10 -> iptables/nftables Problem

Beitrag von mat6937 » 31.07.2020 13:25:41

Avenger hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 12:56:38
warum sollte ich es anders einrichten?
Na weil man dann selber keine iptables-/nftables-Regeln setzen muss. Es werden nur diese 2 Zeilen (oder gleichwertig statt "ipv4") benötigt:

Code: Alles auswählen

IPForward=ipv4
IPMasquerade=yes
Avenger hat geschrieben: ↑ zum Beitrag ↑
31.07.2020 12:56:38
Bei einer Neueinrichtung (SD Karte formatiert), dauert die WG Inbetriebnahme keine 3min.
Ja, aber das ist mit systemd-networkd auch so. Keine 3 Minuten, Z. B.:

Code: Alles auswählen

:~ $ cat /etc/systemd/network/wg0.network
[Match]
Name=wg0

[Link]
MTUBytes=####

[Network]
DHCP=no
LinkLocalAddressing=no
Address=192.168.###.xxx/24
DNS=84.###.##.##
DNS=84.xxx.xx.xx
IPForward=ipv4
IPMasquerade=yes
ConfigureWithoutCarrier=true

Code: Alles auswählen

:~# cat /etc/systemd/network/wg0.netdev
[Match]
Host=<machine-ID>

[NetDev]
Name=wg0
Kind=wireguard
Description=WireGuardServer

[WireGuard]
PrivateKey = #####
ListenPort = #####
FwMark = ###

[WireGuardPeer]
#Client_xxxx
PublicKey = #####
PresharedKey = ###
AllowedIPs = 192.168.###.yyy/32

Antworten